Algemeen beleid voor voorwaardelijke toegang: MFA vereisen voor Azure-beheer

Organisaties gebruiken veel Azure-services en beheren deze vanuit Azure Resource Manager-hulpprogramma's, zoals:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Deze hulpprogramma's kunnen zeer bevoegde toegang bieden tot resources die de volgende wijzigingen kunnen aanbrengen:

  • Abonnementsbrede configuraties wijzigen
  • Service-instellingen
  • Abonnementsfacturering

Als u deze bevoegde resources wilt beveiligen, raadt Microsoft aan meervoudige verificatie te vereisen voor elke gebruiker die toegang heeft tot deze resources. In Azure AD zijn deze hulpprogramma's gegroepeerd in een suite met de naam Microsoft Azure Management. Voor Azure Government moet deze suite de Azure Government Cloud Management API-app zijn.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit te sluiten van uw beleid:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant. Uw beheerdersaccount voor noodtoegang kan worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u voor administratieve doeleinden aan te melden bij systemen. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen, of met behulp van de Sjablonen voor voorwaardelijke toegang (preview).

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om te vereisen dat gebruikers die toegang hebben tot de Microsoft Azure Management Suite meervoudige verificatie uitvoeren.

Waarschuwing

Zorg ervoor dat u begrijpt hoe voorwaardelijke toegang werkt voordat u een beleid instelt voor het beheren van de toegang tot Microsoft Azure Management. Zorg ervoor dat u geen voorwaarden maakt die uw eigen toegang tot de portal kunnen blokkeren.

  1. Meld u als Beheerder voor voorwaardelijke toegang, Beveiligingsbeheerder of Globale beheerder aan bij de Azure-portal.
  2. Blader naar Azure Active Directory>Beveiliging>Voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen, en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  6. Selecteer onder Cloud-apps of -acties>Opnemen de optie Apps selecteren, kies Microsoft Azure Management en selecteer Selecteren.
  7. Selecteer onder Toegangsbeheer>Verlenende optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat de instellingen zijn bevestigd met de modus Alleen rapporteren, kan een beheerder de wisselknop Beleid inschakelen van Alleen rapporteren wijzigen in Aan.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Gedrag van aanmelden simuleren met het hulpprogramma What If voor voorwaardelijke toegang